kSecTrustResultRecoverableTrustFailure 的原因是什么？

Question

我想通过一些额外的检查来验证我的 ssl 服务器证书。有时我会得到一个

kSecTrustResultRecoverableTrustFailure 

而不是

kSecTrustResultProceed 或 kSecTrustResultUnspecified

如果

• 证书是 md5 散列 (IOS5)
• 服务器不提供根证书和中间证书
• SecTrustSetAnchorCertificatesOnly(trust,YES) 已设置，并且锚证书仅在内置锚证书中
• 证书已过期
• ?

这取决于用于评估信任的 AppleX509TP 策略。

我的问题是如果链失败我不想信任，但如果使用 MD5 我想信任。

有没有办法找出评估失败的原因？

作为替代方法，有没有办法从SecCertificateRef 中提取CSSM_ALGID_MD5？

Answer 1

可能是服务器证书问题....

检查here，我解决了我的kSecTrustResultRecoverableTrustFailure 问题，将subjectAltName = DNS:example.com 添加到openssl 配置文件中，特别是在服务器密钥生成中...

如果您不使用 openssl 生成它，很抱歉，但我可以帮助您。无论如何，如果您想使用 openssl，here 是一个很好的教程，可以生成这些密钥并使用您自己的 root 签名证书颁发机构。

在本教程中，我刚刚将我的 openssl 服务器配置文件更改为：

[ 服务器 ] 基本约束 = 关键，CA:FALSE keyUsage = 数字签名、密钥加密、数据加密 extendedKeyUsage = serverAuth nsCertType = 服务器 subjectAltName = IP:10.0.1.5,DNS:office.totendev.com

希望对你有帮助！

已编辑：

我的服务器评估代码：

#pragma mark - SERVER Auth Helper
//Validate server certificate with challenge
+ (BOOL)validateServerWithChallenge:(NSURLAuthenticationChallenge *)challenge {
//Get server trust management object a set anchor objects to validate it
SecTrustSetAnchorCertificates([challenge.protectionSpace serverTrust], (__bridge CFArrayRef)[self allowedCAcertificates]);
//Set to server trust management object to JUST ALLOW those anchor objects assigned to it (ABOVE), and disable apple CA trusts 
SecTrustSetAnchorCertificatesOnly([challenge.protectionSpace serverTrust], YES);
//Try to evalute it
SecTrustResultType evaluateResult = kSecTrustResultInvalid; //evaluate result
OSStatus sanityCheck = SecTrustEvaluate([challenge.protectionSpace serverTrust], &evaluateResult);
//Check for no evaluate error
if (sanityCheck == noErr) {
    //Check for result
    if ([[self class] validateTrustResult:evaluateResult]) { return YES ; }
}
//deny!
return NO ;
}
//Validate SecTrustResulType
+ (BOOL)validateTrustResult:(SecTrustResultType)result {
switch (result) {
    case kSecTrustResultProceed: { TDLog(kLogLevelHandshake,nil,@"kSecTrustResultProceed"); return YES ; }
        break;
    case kSecTrustResultConfirm: { TDLog(kLogLevelHandshake,nil,@"kSecTrustResultConfirm"); return YES ; }
        break;
    case kSecTrustResultUnspecified: { TDLog(kLogLevelHandshake,nil,@"kSecTrustResultUnspecified"); return YES ; }
        break;
    case kSecTrustResultDeny: { TDLog(kLogLevelHandshake,nil,@"kSecTrustResultDeny"); return YES ; }
        break;
    case kSecTrustResultFatalTrustFailure: { TDLog(kLogLevelHandshake,nil,@"kSecTrustResultFatalTrustFailure"); return NO ; }
        break;
    case kSecTrustResultInvalid: { TDLog(kLogLevelHandshake,nil,@"kSecTrustResultInvalid"); return NO ; }
        break;
    case kSecTrustResultOtherError: { TDLog(kLogLevelHandshake,nil,@"kSecTrustResultOtherError"); return NO ; }
        break;
    case kSecTrustResultRecoverableTrustFailure: { TDLog(kLogLevelHandshake,nil,@"kSecTrustResultRecoverableTrustFailure"); return NO ; }
        break;
    default: { TDLog(kLogLevelHandshake,nil,@"unkown certificate evaluate result type! denying..."); return NO ; }
        break;
}

}

现在希望它有所帮助:)！

Answer 2

有没有办法找出评估失败的原因？

在调用SecTrustEvaluate()之后再调用SecTrustCopyProperties()：

SecTrustRef trust = ...;
SecTrustResultType trustResult = kSecTrustResultOtherError;
OSStatus status = SecTrustEvaluate(trust, &trustResult);
if (trustResult == kSecTrustResultRecoverableTrustFailure) {
    NSArray * trustProperties = (__bridge_transfer id)
        SecTrustCopyProperties(certTrust);
}

trustProperties 是一个字典数组，评估的证书链中的每个证书都有一个字典。每个字典都有一个条目title，包含证书的名称，如果证书没有评估，它还包含一个包含错误的条目error。例如。如果问题是证书已过期，则error 的值将是CSSMERR_TP_CERT_EXPIRED。